一般社団法人 がん統計センター 様 – 顧客事例 –

初めてのISMS認証取得。不安は沢山ありましたが、LRMのリードでスムーズに取得できホッとしています。保守契約も結んだので、次の更新審査も安心です。

広島の一般社団法人 がん統計センターは、LRMのコンサルティングサービスを活用して、2013年5月、ISMS/ISO27001(以下、ISMS)認証を取得しました。また取得完了後は、次年度の更新審査に向け保守サービスも契約しました。コンサルティング開始から取得完了までの経緯、LRMのコンサルティングに対する評価、さらに保守サービスを契約した理由などについてISMS担当者様にお話をうかがいました。

(一般社団法人 がん統計センターについて)

がん対策推進への寄与を目的としたシステム開発を行っている。同法人が開発する主なシステムは、がん患者の統計を取るためのがん登録システムである。がん登録システムには、病院ごとにがん患者の情報を入力する「院内がん登録システム」、各病院で登録したデータを各都道府県ごとに集めて統計を取るための「地域がん登録システム」がある。その中でも特に「地域がん登録システム」については、同法人は30都道府県へ納入しており、国内シェアトップである(2013年8月現在)。
本社;広島市。設立;2010年。従業員数;6名。

LRMにISMS認証新規取得コンサルティングを依頼。取得後は保守サービスも

– 御社がLRMへ依頼した業務内容を教えて下さい。

一般社団法人 がん統計センターは、2012年7月末、LRMにISMS認証の新規取得コンサルティングを依頼しました。コンサルタントは幸松さんです。
2013年5月下旬、認証取得が完了し、取得後は次の更新に向けて1年間の保守サービスを契約しました。

信用力強化のためにISMS認証を取得

– ISMS認証を取得した理由を教えて下さい。

主な理由は、社内の情報資産を適切に扱う仕組みを構築するためです。より効果的な仕組みを構築するために、第三者機関が定める規格に基づき、認証を受けることにしました。

– 御社内で扱う情報資産にはどのようなものがありますか。

まず、納品後のシステムの保守業務では、患者さんの個人情報をお預かりすることが想定されます。また開発するシステムのソースコード、開発に使うパソコン、サーバーなどの機器、そしてネットワークなどは、弊社の事業継続に関わる重要な情報資産です。

地域がん登録システム導入で国内シェアNo.1を誇るがん統計センターのホームページ

地域がん登録システム導入で国内シェアNo.1
を誇るがん統計センターのホームページ

第三者機関の認証にはISMS認証の他、プライバシーマークがありますが、このような情報資産を守る仕組みを構築するとともに、個人情報を適正に扱っている証としてISMS認証が適していると判断しました。認証を取得して維持することは、対外的な信用力と競争力の強化にもつながりますので、しっかりPDCAを回しながら運用していきたいと考えています。

ISMSに関する予備知識がなく、不安を抱えながらスタート

– ご担当者様はISMSに関する予備知識はありましたか。

いいえ。社内のISMS担当者は2名で、2名のうち1名は情報セキュリティ関連の資格を持っておりましたが、実際にマネジメントシステムを構築・運用した経験はありませんでした。そのため2名とも”ISMS”に関する経験は殆ど無いと言っても過言ではありませんでした。そのような状況であったため、認証取得までの準備をしっかりリードしてくれるコンサルタントが必要でした。
業務上の情報の扱い方に関しては、一般人レベルの講習、研修、eラーニングを受けていましたし、社会人の常識としてやってはいけないことは把握していました。しかしISMS認証を取得するために何を準備すればいいのか、またISMS担当者のタスクについてはまったく想像もつかない状態でした。そのため最後まで不安だらけでしたが、LRMのリードがあったので、その不安はだいぶ解消されたと感じています。

予想以上に負担が軽く済み、スムーズに認証を取得することができた

– ISMS認証取得はスムーズにいきましたか。

はい。資産台帳や社内ルールなどの文書作成から社員教育、審査まで全てスムーズにいきました。我々ISMS担当者が行う作業は予想以上に少なかったので負担も軽く、通常業務に支障を来すこともありませんでした。

– LRMのコンサルティングはどのように進みましたか。

幸松さんのヒアリングに弊社のISMS担当者が回答するという形で進みました。最初の5か月間は月に2回ぐらいのペースで審査に必要な文書類を作成するための打ち合わせを行い、そこで話し合った内容をもとにLRM側が文書作成を行いました。その後は月に1回ぐらいのペースで来てもらって、作成した文書類の読み合わせをしたり、社員教育や審査などに関するアドバイスを受けたりしました。現地審査を迎えるにあたっては、オフィス内の整理状況を点検してもらいました。

– 御社のISMS担当者の方が行った作業にはどのようなものがありましたか。

例えば資産台帳の作成です。LRMが用意したフォーマットを埋める形で、社内の資産台帳をまとめていきました。その他には、組織の体制表を作成したり、フロアレイアウトやネットワーク図を探したり、避難場所を調べたり、社内の人間でなければ把握できない情報のとりまとめを行いました。

– ISMS認証取得に向けて社内ルールを構築したことで、業務フローなど日常業務における何等かの変化はありましたか。

細かい変化が多少あった程度です。例えば、サーバーへのログインIDですが、従来は共有IDを使っていましたが、それをやめてスタッフ一人ひとりの個別IDを採用しました。

以上のように、不安はあったものの、ISMS認証を取得する過程では取り立てて苦労することもなく、また業務フローの変化などによって開発の現場が混乱することもありませんでした。

コンサルタントの気さくな性格によりリラックスして打ち合わせに臨むことができた

– LRMのコンサルティングについては、どのようなご感想をお持ちですか。

LRMの幸松さんは、大変気さくなコンサルタントでした。そのため話がしやすく、どんな相談もできました。
社内のISMS担当者は2人ともコンサルタントという肩書を持つ方と一緒に仕事をするのは初めてだったので、作業がどのように進むのかイメージができず不安がありました。しかし、実際に始まってみるとそのような不安は払拭されました。LRMのコンサルティングは、こちらがやりやすいようにお膳立てしてくれるので、開発の業務が忙しい中でも遅延なく前に進むことができました。また、疑問が発生した際には「こんな質問してもいいのかな」と恐る恐る質問していましたが、わかりやすく丁寧に答えていただいたので、だんだんハードルは下がっていきました。
ISMS認証を取得する過程で最も不安が大きかったのは現地審査です。準備の漏れや間違いがないかが心配でした。そのため審査前は何度もLRMに連絡して確認しました。おかげで現地審査も問題なくクリアできました。

LRMの幸松さんは、性格が明るく話しやすいため、打ち合わせの際にもリラックスして臨むことができました。それが一番良かった点です。

安心してISMSを運用するために1年間の保守契約を締結

– ISMS認証の取得が完了したご感想をお聞かせ下さい。

認証取得が無事に完了したことで、ISMS担当者としては使命を果たした達成感はあります。しかし今後は継続的に運用していかなければいけません。「認証を取得したのは良いけど、今後維持していくためにどうしたら良いのか?」と、悩みは尽きません。そのため、LRMと引き続き保守サービスを契約し、今後1年間はサポートしていただくことにしました。

– 1年間の保守サービスでは、どんなサポートを受けるのですか。

次の審査に向けたサポートが中心です。特に今年(2013年)はISMSの規格が改定されるので、その改定への対応をサポートしていただきます。またISMSを維持するために毎年やらなければいけないことやPDCAサイクルの回し方、マネジメントシステムの見直しなどについてアドバイスをしていただく予定です。
保守サービスを契約したことで、1年目の更新審査は安心して臨むことが出来そうです。

「認証取得が完了し、保守契約も結んだので、ひとまずほっとしています」(ISMS担当氏)※左は弊社幸松

「認証取得が完了し、保守契約も結んだので、
ひとまずほっとしています」(ISMS担当氏)※左は弊社幸松

今後のビジョン

– 最後に今後のビジョンをお話し下さい。

ISMS担当者のミッションは、ISMSの運用をしっかり維持していくことです。
オフィスやサーバールームの出入口にはパスコードが設定されていること、スタッフが業務を行うデスクは外部から弊社を訪問した方の目に触れるところからは隔てられていることなど、情報が漏れるリスクは環境的には抑えてあります。また、日常業務を行う限りではリスクの高い情報も扱っていません。従って現状においては、情報漏えいより、認証を維持していけるかどうかが心配です。またISMSは毎年審査がありますが、そのための準備に余分な時間がとられると業務に支障が出てしまいます。それを防ぐためにもLRMのサポートを受けてISMS担当者としての使命を果たしながら、従来通り日常業務もしっかりこなしていきたいと考えています。

一般社団法人 がん統計センター様、お忙しい中、有り難うございました。

一般社団法人 がん統計センターのWebサイト
※ 取材日時 2013年8月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る